如图所示，我的存储服务器中了勒索病毒，大概率是从网络上传播的，而不是通过硬件介质。

我在此之前给一位用户开了一个虚拟机在PVE环境中，使用RDP暴露在13389端口上

并且使用弱密码password作为默认密码，但可能TA不会也有可能忘了更改密码，使得密码一直保持在password，管理账户Administrator，现在已经关闭了，并且其虚拟机为了方便的安装多些软件

所以将本地存储服务器的SMB挂载到了Z盘，并且保存了凭据，虽然在安装软件后即使取消了挂载网络磁盘

但我认为其连接凭据仍然保存在虚拟机中，借此勒索病毒知道了密码并且将存储服务器的文件全全加密且在

存储服务器上运行勒索病毒，存储服务器的操作系统和虚拟机的系统都为SMB系统，因此可以比较方便的共享SMB协议的磁盘。

所以，我梳理了被攻破的流程以及预防措施，如果有需要暴露在公共网络但是因为勒索病毒而感到恐惧或者受到了勒索病毒的危害都可以参考一下本篇文章

1. 虚拟机的远程桌面常用端口“13389”暴露在公网上、虚拟机的远程桌面密码为password属于弱密码、虚拟机与其他服务器的网络没有做出隔离、虚拟机中保存着存储服务器的连接凭据。

2. 脚本在整个IPV4范围内不断搜索常用端口的远程桌面服务器，不幸被搜索到了，使用弱密码成功登录到虚拟机中，释放勒索病毒。

3. 找到了连接存储服务器的凭据，开始连接存储服务器的远程桌面并且在存储服务器释放了勒索病毒，将磁盘内的所有非exe格式文件全数加密，我猜测没有加密exe格式文件的原因：需要保持系统的基础运行，以及使用notepad.exe打开勒索病毒所准备好的勒索信息。

防范建议：

1.建议不要把服务器的端口暴露在公共网络上。如果必须要暴露端口在公共网络上，需要确认服务是否为”远程控制“类的服务，例如RDP、SSH ， 这些远程控制的服务可以参考使用隧道连接、或者使用“堡垒机”来减少风险。

2.使用强密码，不要使用password或者12345678之类的密码，这些密码都在攻击者软件中的词典文件中记载着。

3.备份，如果可以需要隔一段时间进行一次手动冷备份。

4.建议进行网络隔离，例如VLAN。

5.对于以Windows作为操作系统的服务器，建议安装杀毒软件例如360国际版。

这其中的一条符合都可以减少被攻击、减少数据被勒索的风险。